Aracılığıyla paylaş

Grupları yönetme

  • Makale

Bu makalede yöneticilerin Azure Databricks gruplarını nasıl oluşturup yönetecekleri açıklanmaktadır. Azure Databricks kimlik modeline genel bakış için bkz . Azure Databricks kimlikleri.

Gruplara erişimi yönetmek için bkz . Kimlik doğrulaması ve erişim denetimi.

Grup yönetimine genel bakış

Gruplar, çalışma alanlarına, verilere ve güvenli hale getirilebilen diğer nesnelere erişim atamayı kolaylaştırarak kimlik yönetimini basitleştirir. Tüm Databricks kimlikleri grupların üyesi olarak atanabilir.

Hesap grupları ile çalışma alanı-yerel gruplar arasındaki fark

Azure Databricks'in hesap grupları ve eski çalışma alanı yerel grupları kavramı vardır:

  • Hesap gruplarına Unity Kataloğu meta veri deposundaki verilere erişim, hizmet sorumluları ve gruplarında roller ve federasyon çalışma alanlarını kimlik izinleri verilebilir.
  • Çalışma alanı yerel grupları eski gruplardır. Bu gruplar, çalışma alanı yöneticisi ayarları sayfasında yerel çalışma alanı olarak tanımlanır. Çalışma alanı yerel grupları ek çalışma alanlarına atanamaz veya Unity Kataloğu meta veri deposundaki verilere erişim verilemez. Çalışma alanı yerel gruplarına hesap düzeyinde roller verilemez. Çalışma alanı yerel grupları hakkında daha fazla bilgi için bkz. Çalışma alanı yerel gruplarını yönetme (eski).

Her çalışma alanında iki sistem grubu vardır: users ve admins. Tüm çalışma alanı kullanıcıları grubun üyesidir users ve tüm çalışma alanı yöneticileri grubun üyesidir admins . Sistem grupları çalışma alanı yerel gruplarıdır. Sistem grupları silinemez.

Databricks, Unity Kataloğu'nu kullanarak merkezi çalışma alanı ataması ve veri erişim yönetiminden yararlanmak için mevcut çalışma alanı yerel gruplarının hesap gruplarına dönüştürülmesini önerir. Bkz . Çalışma alanı yerel gruplarını hesap gruplarına geçirme.

Not

Azure'da çalışma alanı kaynağı üzerinde izni olan yerleşik Katkıda Bulunan, Sahip veya özel role sahip Microsoft.Databricks/workspaces/assignWorkspaceAdmin/action kullanıcılar otomatik olarak çalışma alanı admins grubuna atanır. Daha fazla bilgi için bkz . Aboneliğinizi yönetme.

Hesap gruplarını kimler yönetebilir?

Azure Databricks'te hesap grupları oluşturmak için hesap yöneticisi veya çalışma alanı yöneticisi olmanız gerekir. Hesap grubu oluşturmak için çalışma alanı yöneticilerinin kimlik federasyon çalışma alanlarında olması gerekir.

Azure Databricks'te hesap gruplarını yönetmek için bir grupta grup yöneticisi rolüne (Genel Önizleme) sahip olmanız gerekir. Grup yöneticileri grup üyeliğini yönetebilir ve grubu silebilir. Diğer kullanıcılara grup yöneticisi rolünü de atayabilirler. Hesap yöneticileri hesap konsolunu kullanarak grup rollerini, çalışma alanı yöneticileri ise çalışma alanı yönetici ayarları sayfasını kullanarak grup rollerini yönetebilir. Çalışma alanı yöneticisi olmayan grup yöneticileri, Hesap Erişim Denetimi API'sini kullanarak grup rollerini yönetebilir.

Hesap yöneticilerinin hesap düzeyinde grup yöneticisi rolü vardır; bu da hesaptaki tüm gruplarda grup yöneticisi rolüne sahip oldukları anlamına gelir. Çalışma alanı yöneticileri, oluşturdukları hesap gruplarında grup yöneticisi rolüne sahiptir.

Çalışma alanı yöneticileri ayrıca çalışma alanı-yerel grupları oluşturabilir ve yönetebilir.

Grupları Microsoft Entra Id kiracınızdan Azure Databricks hesabınızla eşitleme

ScIM sağlama bağlayıcısını kullanarak Microsoft Entra ID kiracınızdaki grupları Azure Databricks hesabınızla eşitleyebilirsiniz. Yönergeler için bkz . Microsoft Entra Id kullanarak Azure Databricks hesabınıza kimlik sağlama.

Önemli

Kimlikleri doğrudan çalışma alanlarınızla eşitleyen SCIM bağlayıcılarınız varsa ve bu çalışma alanları kimlik federasyonu için etkinleştirildiyse, hesap düzeyinde SCIM bağlayıcısı etkinleştirildiğinde bu SCIM bağlayıcılarını devre dışı bırakmanızı öneririz. Kimlik federasyonu kullanmayan çalışma alanlarınız varsa, hesap düzeyinde SCIM bağlayıcısıyla paralel olarak çalışan, bu çalışma alanları için yapılandırdığınız SCIM bağlayıcılarını kullanmaya devam etmeniz gerekir.

Hesap konsolunu kullanarak hesap gruplarını yönetme

Hesap yöneticileri, hesap konsolunu kullanarak Azure Databricks hesabına grup ekleyebilir ve yönetebilir. Çalışma alanı yöneticileri ve grup yöneticileri, çalışma alanı ayarları sayfasını ve Databricks API'lerini kullanarak grupları yönetebilir. Bkz . Çalışma alanı yönetici ayarlarını kullanarak hesap gruplarını yönetme sayfası ve API kullanarak hesap gruplarını yönetme.

Hesap konsolunu kullanarak hesabınıza grup ekleme

Hesap konsolunu kullanarak hesaba grup eklemek için aşağıdakileri yapın:

  1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
  2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.
  3. Gruplar sekmesinde Grup ekle'ye tıklayın.
  4. Grup için bir ad girin.
  5. Onayla'yı tıklatın.
  6. İstendiğinde, gruba kullanıcıları, hizmet sorumlularını ve grupları ekleyin.

Hesap konsolunu kullanarak gruba üye ekleme

Hesap konsolunu kullanarak bir gruba kullanıcı, hizmet sorumlusu ve grup eklemek için aşağıdakileri yapın:

  1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
  2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.
  3. Gruplar sekmesinde, güncelleştirmek istediğiniz grubu seçin.
  4. Üye ekle'ye tıklayın.
  5. Eklemek istediğiniz kullanıcı, grup veya hizmet sorumlusunu arayın ve seçin.
  6. Ekle'yi tıklatın.

Not

Bir hesabın grubu güncelleştirilmesiyle grubun çalışma alanlarında güncelleştirilmesi arasında birkaç dakika gecikme olur.

Hesap konsolunu kullanarak bir gruptaki rolleri yönetme

Önemli

Bu özellik Genel Önizlemededir.

Hesap yöneticileri, hesap konsolundaki hesap gruplarında roller verebilir.

  1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
  2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.
  3. Gruplar sekmesinde grup adını bulun ve tıklayın.
  4. İzinler sekmesine tıklayın.
  5. Erişim ver'e tıklayın.
  6. Kullanıcı, hizmet sorumlusu veya grubu arayıp seçin ve Grup: Yönetici rolünü seçin.
  7. Kaydet'e tıklayın.

Grubun adını değiştirme

Hesap yöneticileri, hesap konsolunu kullanarak içindeki hesap gruplarının adını güncelleştirebilir:

  1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
  2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.
  3. Gruplar sekmesinde, güncelleştirmek istediğiniz grubu seçin.
  4. Grup bilgileri'ne tıklayın.
  5. Ad'ın altında adı güncelleştirin.
  6. Kaydet'e tıklayın.

Grup yöneticileri hesap konsolunu kullanarak grubun adını değiştiremez. Bunun yerine Hesap Grupları API'sini kullanın. Örneğin:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      {
          "op": "replace",
          "path": "displayName",
          "value": "<updated-name>"
      }
    }
  ]
}

Hesap Grupları API'sinde kimlik doğrulaması yapma hakkında bilgi için bkz . Azure Databricks kaynaklarına erişimin kimliğini doğrulama.

Hesap konsolunu kullanarak çalışma alanına grup atama

Hesap konsolunu kullanarak bir çalışma alanına grup eklemek için, kimlik federasyonu için çalışma alanının etkinleştirilmesi gerekir. Çalışma alanlarına yalnızca hesap grupları atanabilir.

  1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
  2. Kenar çubuğunda Çalışma Alanları'na tıklayın.
  3. Çalışma alanınızın adına tıklayın.
  4. İzinler sekmesinde İzin ekle'ye tıklayın.
  5. Grubu arayın ve seçin, izin düzeyini (çalışma alanı Kullanıcı veya Yönetici) atayın ve kaydet'e tıklayın.

Hesap konsolunu kullanarak bir grubu çalışma alanından kaldırma

Hesap konsolunu kullanarak bir çalışma alanına grupları kaldırmak için, kimlik federasyonu için çalışma alanının etkinleştirilmesi gerekir. Yalnızca hesap grupları, hesap konsolunu kullanarak çalışma alanlarından çıkarılabilir.

Bir hesap grubu çalışma alanından kaldırıldığında, grup üyeleri artık çalışma alanına erişemez, ancak izinler grupta korunur. Grup daha sonra bir çalışma alanına geri eklenirse, grup önceki izinlerini yeniden kazanır.

  1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
  2. Kenar çubuğunda Çalışma Alanları'na tıklayın.
  3. Çalışma alanınızın adına tıklayın.
  4. İzinler sekmesinde grubu bulun.
  5. Grup satırının Kebap menüsü en sağındaki kebap menüsüne tıklayın ve Kaldır'ı seçin.
  6. Onay iletişim kutusunda Kaldır'a tıklayın.

Gruba hesap yöneticisi rolleri atama

Hesap konsolunu kullanarak bir gruba hesap yöneticisi veya market yöneticisi rolü atayamazsınız, ancak bunu Hesap Grupları API'sini kullanarak gruplara atayabilirsiniz. Örneğin:

curl --netrc -X PATCH \
https://${DATABRICKS_HOST}/api/2.1/accounts/{account_id}/scim/v2/Groups/{id} \
--header 'Content-type: application/scim+json' \
--data @update-group.json \
| jq .

update-group.json:

{
  "schemas": [ "urn:ietf:params:scim:api:messages:2.0:PatchOp" ],
  "Operations": [
    {
      "op": "add",
      "path": "roles",
      "value": [
        {
          "value": "account_admin"
        }
      ]
    }
  ]
}

Hesap Grupları API'sinde kimlik doğrulaması yapma hakkında bilgi için bkz . Azure Databricks kaynaklarına erişimin kimliğini doğrulama.

Azure Databricks hesabınızdan grupları kaldırma

Hesap yöneticileri Bir Azure Databricks hesabından grupları kaldırabilir. Grup yöneticileri, Hesap Grupları API'sini kullanarak hesaptan grupları da kaldırabilir, bkz . API'yi kullanarak hesap gruplarını yönetme.

Önemli

Bir grubu kaldırdığınızda, bu gruptaki tüm kullanıcılar hesaptan silinir ve erişimi olan tüm çalışma alanlarına erişimi kaybeder (başka bir grubun üyesi olmadığı veya hesaba veya herhangi bir çalışma alanına doğrudan erişim verilmediği sürece). Databricks, hesaptaki tüm çalışma alanlarına erişimi kaybetmelerini istemediğiniz sürece hesap düzeyindeki grupları silmekten kaçınmanızı önerir. Kullanıcıları silmenin aşağıdaki sonuçlarına dikkat edin:

  • Kullanıcı tarafından oluşturulan belirteçleri kullanan uygulamalar veya betikler artık Databricks API'lerine erişemez
  • Kullanıcıya ait işler başarısız
  • Kullanıcı durağına ait kümeler
  • Kullanıcı tarafından oluşturulan ve Sahip Olarak Çalıştır kimlik bilgileri kullanılarak paylaşılan sorguların veya panoların paylaşımın başarısız olmasını önlemek için yeni bir sahipe atanması gerekir

Hesap konsolunu kullanarak bir grubu kaldırmak için aşağıdakileri yapın:

  1. Hesap yöneticisi olarak hesap konsolunda oturum açın.
  2. Kenar çubuğunda Kullanıcı yönetimi'ne tıklayın.
  3. Gruplar sekmesinde, kaldırmak istediğiniz grubu bulun.
  4. Kullanıcı satırının Kebap menüsü sağ ucundaki kebap menüsüne tıklayın ve Sil'i seçin.
  5. Onay iletişim kutusunda Silmeyi onayla'ya tıklayın.

Hesap konsolunu kullanarak bir grubu kaldırırsanız, hesap için ayarlanmış scim sağlama bağlayıcılarını veya SCIM API uygulamalarını kullanarak da grubu kaldırdığınızdan emin olmanız gerekir. Aksi takdirde, SCIM sağlama işlemi grubu ve üyelerini bir sonraki eşitlemede geri ekler. Bkz . Microsoft Entra Id'den kullanıcıları ve grupları eşitleme.

API kullanarak azure databricks hesabından bir grubu kaldırmak için bkz. Kullanıcıları ve grupları Azure Databricks hesabınızla ve Hesap Grupları API'sine eşitleme.

Çalışma alanı yönetici ayarları sayfasını kullanarak hesap gruplarını yönetme

Çalışma alanı yöneticileri, çalışma alanı yönetici ayarları sayfasını kullanarak kimlik federasyon çalışma alanlarında hesap grupları oluşturabilir ve yönetebilir.

Not

Bir çalışma alanından hesap grubunu güncelleştirme ile hesapta güncelleştirilen grup arasında birkaç dakika gecikme olur.

Çalışma alanlarında çalışma alanı yerel grupları oluşturma hakkında bilgi için bkz . Çalışma alanı yerel gruplarını yönetme (eski).

Çalışma alanı yönetici ayarları sayfasını kullanarak bir çalışma alanına grup oluşturma veya atama

Çalışma alanı yönetici ayarları sayfasını kullanarak bir çalışma alanında hesap grubu atamak veya oluşturmak için aşağıdakileri yapın:

  1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.

  2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'ı seçin.

  3. Kimlik ve erişim sekmesine tıklayın.

  4. Gruplar'ın yanında Yönet'e tıklayın.

  5. Grup Ekle'ye tıklayın.

  6. Çalışma alanına atamak üzere mevcut bir grubu seçin veya yeni bir hesap grubu oluşturmak için Yeni ekle'ye tıklayın.

    Not

    Çalışma alanınız kimlik federasyonu için etkinleştirilmemişse, var olan hesap gruplarını atayamaz veya çalışma alanınıza hesap grupları oluşturamazsınız. Bunun yerine çalışma alanı yerel gruplarını kullanmanız gerekir. Bkz . Çalışma alanı yerel gruplarını yönetme (eski).

Çalışma alanı yönetici ayarları sayfasını kullanarak gruba üye ekleme

Çalışma alanı yöneticisi ayarları sayfasını kullanarak bir hesap grubuna kullanıcı, hizmet sorumlusu ve grup eklemek için çalışma alanı yöneticisi olmanız gerekir. Yalnızca grup yöneticisi rolüne sahip olduğunuz bir grubun üyelerini yönetebilirsiniz.

Not

Gruba alt grup admins ekleyemezsiniz. Çalışma alanı yerel gruplarını veya sistem gruplarını hesap gruplarının üyesi olarak ekleyemezsiniz.

Çalışma alanı yöneticisi olmayan grup yöneticilerinin Hesap Grupları API'sini kullanarak grup üyeliğini yönetmesi gerekir.

  1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.
  2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'ı seçin.
  3. Kimlik ve erişim sekmesine tıklayın.
  4. Gruplar'ın yanında Yönet'e tıklayın.
  5. Güncelleştirmek istediğiniz grubu seçin. Güncelleştirmek için grupta grup yöneticisi rolüne sahip olmanız gerekir.
  6. Üyeler sekmesinde Üye ekle'ye tıklayın.
  7. İletişim kutusunda, eklemek istediğiniz kullanıcılara, hizmet sorumlularına ve gruplara göz atın veya bunları arayın ve seçin.
  8. Onayla'yı tıklatın.

Çalışma alanı yönetici ayarları sayfasını kullanarak hesap grubundaki rolleri yönetme

Önemli

Bu özellik Genel Önizlemededir.

Grup yöneticisi rolünü kullanıcılara, hesap gruplarına ve hizmet sorumlularına atayabilirsiniz. Grup yöneticileri grup üyeliğini yönetebilir. Grup yöneticisi rolünü diğer kullanıcılara da atayabilirler.

Çalışma alanı yöneticisi ayarları sayfasını kullanarak grup rollerini yönetmek için çalışma alanı yöneticisi olmanız gerekir. Çalışma alanı yöneticisi olmayan grup yöneticileri, Hesap Erişim Denetimi API'sini kullanarak grup rollerini yönetebilir.

  1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.

  2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'ı seçin.

  3. Kimlik ve erişim sekmesine tıklayın.

  4. Gruplar'ın yanında Yönet'e tıklayın.

  5. Güncelleştirmek istediğiniz grubu seçin. Güncelleştirmek için grupta grup yöneticisi rolüne sahip olmanız gerekir.

  6. İzinler sekmesine tıklayın.

  7. Erişim ver'e tıklayın.

  8. Kullanıcı, hizmet sorumlusu veya grubu arayıp seçin ve Grup: Yönetici rolünü seçin.

    Not

    Hesap gruplarında çalışma alanı yerel grupları veya sistem grupları rolleri atayamazsınız.

  9. Kaydet'e tıklayın.

Üst grupları görüntüleme

  1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.
  2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'ı seçin.
  3. Kimlik ve erişim sekmesine tıklayın.
  4. Gruplar'ın yanında Yönet'e tıklayın.
  5. Görüntülemek istediğiniz grubu seçin.
  6. Üst grup sekmesinde, grubunuz için üst grupları görüntüleyin.

Çalışma alanı yönetici ayarları sayfasını kullanarak bir grubu çalışma alanından kaldırma

Çalışma alanından bir grup kaldırılarak hesaptaki grup silinmez. Bir grup çalışma alanından kaldırıldığında, grup üyeleri artık çalışma alanına erişemez, ancak izinler grupta korunur. Grup daha sonra çalışma alanına geri eklenirse, grup önceki izinlerini yeniden kazanır.

  1. Çalışma alanı yöneticisi olarak Azure Databricks çalışma alanında oturum açın.
  2. Azure Databricks çalışma alanının üst çubuğunda kullanıcı adınıza tıklayın ve Ayarlar'ı seçin.
  3. Kimlik ve erişim sekmesine tıklayın.
  4. Gruplar'ın yanında Yönet'e tıklayın.
  5. Grubu seçin ve x Sil'e tıklayın
  6. Onaylamak için Sil'e tıklayın.

API kullanarak hesap gruplarını yönetme

Hesap yöneticileri ve çalışma alanı yöneticileri ve grup yöneticileri, Hesap Grupları API'sini kullanarak Azure Databricks hesabındaki grupları ekleyebilir, silebilir ve yönetebilir. Hesap yöneticilerinin ve çalışma alanı yöneticilerinin ve grup yöneticilerinin api'yi farklı bir uç nokta URL'si kullanarak çağırması gerekir:

  • Hesap yöneticileri kullanır {account-domain}/api/2.1/accounts/{account_id}/scim/v2/.
  • Çalışma alanı yöneticileri ve grup yöneticileri kullanır {workspace-domain}/api/2.0/account/scim/v2/.

Ayrıntılar için bkz. Hesap Grupları API'si.

API kullanarak çalışma alanına grup atama

Hesap ve çalışma alanı yöneticileri, kimlik federasyonu için etkinleştirilmiş çalışma alanlarına grup atamak için Çalışma Alanı Atama API'sini kullanabilir. Çalışma Alanı Atama API'si Azure Databricks hesabı ve çalışma alanları aracılığıyla desteklenir.

  • Hesap yöneticileri kullanır {account-domain}/api/2.1/accounts/{account_id}/workspaces/{workspace_id}/permissionassignments.
  • Çalışma alanı yöneticileri kullanır {workspace-domain}/api/2.0/preview/permissionassignments/principals/{group_id}.

Bkz. Çalışma Alanı Atama API'si.

API kullanarak bir grubun rollerini yönetme

Önemli

Bu özellik Genel Önizlemededir.

Grup yöneticileri, Hesaplar Erişim Denetimi API'sini kullanarak grup rollerini yönetebilir. Hesap yöneticilerinin ve çalışma alanı yöneticilerinin ve grup yöneticilerinin api'yi farklı bir uç nokta URL'si kullanarak çağırması gerekir:

  • Hesap yöneticileri kullanır {account-domain}/api/2.0/preview/accounts/{account_id}/access-control/assignable-roles.
  • Çalışma alanı yöneticileri ve grup yöneticileri kullanır {workspace-domain}/api/2.0/preview/accounts/access-control/assignable-roles.

Bkz. Hesap Erişim Denetimi API'si ve Hesaplar Erişim Denetimi Çalışma Alanı Proxy API'si.